2025年6月到8月，某東南亞國家政府網(wǎng)絡(luò)里同時住著三組不同的黑客。他們互相不知道彼此的存在，用著完全不同的工具，卻盯著同一個目標。

這不是電影劇本。Palo Alto Networks旗下Unit 42團隊最近披露了這起罕見的"多租戶"入侵事件——三個與中國有關(guān)聯(lián)的威脅組織，在同一時間、同一網(wǎng)絡(luò)里各自為戰(zhàn)，像合租公寓的室友一樣互不打擾。

USB蠕蟲打頭陣，政府內(nèi)網(wǎng)被"物理滲透"

第一組人馬來自Stately Taurus，這是個老練的APT組織。他們沒有選擇傳統(tǒng)的釣魚郵件，而是派出了一個叫USBFect的USB蠕蟲（也被標記為HIUPAN）。

這個蠕蟲的設(shè)計很樸素：一旦有人把U盤插進政府電腦，它就自動復(fù)制自己到所有連接的移動存儲設(shè)備。下次這個U盤插到另一臺機器，感染繼續(xù)擴散。

在物理隔離或半隔離的政府網(wǎng)絡(luò)里，USB往往是數(shù)據(jù)交換的唯一通道。Stately Taurus看準了這個盲區(qū)。USBFect成功滲透后，會釋放PUBLOAD后門，為長期潛伏鋪路。

這種手法讓我想起一個老梗：最安全的系統(tǒng)，往往敗給最原始的介質(zhì)。2025年了，USB蠕蟲還能在政府網(wǎng)絡(luò)里橫行，說明"物理安全"四個字在某些地方仍是擺設(shè)。

第二支小隊帶了"全家桶"，連Edge日志都是假的

與此同時，第二組黑客CL-STA-1048正在同一網(wǎng)絡(luò)里忙活。他們的工具箱豐富得多：EggStremeFuel后門、Masol遠程控制木馬（RAT）、EggStreme加載器、Gorem RAT，還有一個叫TrackBak的數(shù)據(jù)竊取工具。

TrackBak的偽裝手法值得一提。它把自己打扮成Microsoft Edge的日志文件，藏在系統(tǒng)角落里，默默記錄鍵盤輸入、剪貼板內(nèi)容、網(wǎng)絡(luò)數(shù)據(jù)和連接存儲設(shè)備上的文件。

換句話說，政府工作人員復(fù)制粘貼的密碼、臨時記下的會議筆記、從機密電腦拷到U盤的文件，全被這個"Edge日志"看光了。

Unit 42發(fā)現(xiàn)，CL-STA-1048與Earth Estries組織以及Crimson Palace行動有明顯關(guān)聯(lián)。這些都是近年活躍的中國背景APT，擅長針對東南亞政府和外交目標。

第三組玩"催眠"，新加載器首次亮相

第三支小隊CL-STA-1049選擇了更隱蔽的路線。他們使用了一個全新發(fā)現(xiàn)的加載器Hypnosis，靜默部署FluffyGh0st RAT。

相比前兩組的張揚，CL-STA-1049的工具鏈更精簡，攻擊痕跡更少。這種"輕量化"策略可能是為了避免與另外兩組"撞車"——畢竟，三個黑客團隊擠在同一個網(wǎng)絡(luò)里，誰先暴露都可能連累其他人。

研究人員指出，CL-STA-1049與Unfading Sea Haze組織高度重疊。后者是2024年才被發(fā)現(xiàn)的新銳APT，主要瞄準東南亞海軍和海事機構(gòu)。

三組人馬，三種技術(shù)路線，同一個獵物。這種"多線程"攻擊模式在APT歷史上并不常見。

"合租"背后的信號：目標優(yōu)先級高于一切

Unit 42的分析有個關(guān)鍵判斷：這三組活動雖然工具不同，但戰(zhàn)術(shù)目標高度一致——都是追求對該政府網(wǎng)絡(luò)的長期持久訪問。

他們沒有互相干擾，也沒有爭奪控制權(quán)。這種克制暗示了一種可能性：松散協(xié)調(diào)的威脅行為者正在共享目標清單、基礎(chǔ)設(shè)施，或接受統(tǒng)一的戰(zhàn)略方向。

用產(chǎn)品經(jīng)理的話說，這像是三個獨立開發(fā)團隊接到了同一個PRD（產(chǎn)品需求文檔），各自用不同技術(shù)棧實現(xiàn)，最終交付到同一個生產(chǎn)環(huán)境。

對防御方來說，這是最糟糕的噩夢。傳統(tǒng)的入侵檢測假設(shè)攻擊者是單一實體，一旦發(fā)現(xiàn)一組指標就以為"破案了"。但在這個案例里，清除Stately Taurus的USB蠕蟲，對另外兩組毫無影響；封堵CL-STA-1048的C2服務(wù)器，CL-STA-1049仍在暗處。

90天的共存期里，攻擊者 layered in（分層部署）了鍵盤記錄器、剪貼板竊取器、文件收集器和反向shell。他們可以繪制內(nèi)網(wǎng)拓撲、監(jiān)控通信流、定位敏感材料，而這一切都不會觸發(fā)明顯的告警。

東南亞為何成為"APT合租"熱門地段

這不是中國背景APT第一次扎堆東南亞。2023年以來，越南、印尼、菲律賓、馬來西亞的政府和軍方機構(gòu)頻繁遭遇多組織協(xié)同打擊。

地緣政治因素很明顯：南海爭議、基礎(chǔ)設(shè)施投資、稀土供應(yīng)鏈——東南亞同時是戰(zhàn)略要沖和經(jīng)濟走廊。對情報收集者來說，這里的政府網(wǎng)絡(luò)是高價值目標中的"剛需盤"。

但技術(shù)層面還有個被低估的變量：東南亞許多國家正在經(jīng)歷數(shù)字化躍遷，政府IT系統(tǒng)的復(fù)雜度快速上升，但安全運營能力沒有同步跟上。新舊系統(tǒng)混雜、供應(yīng)鏈審查薄弱、人員流動頻繁——這些條件對APT來說，比直接攻擊歐美目標更"友好"。

USBFect的得手尤其說明問題。在零信任架構(gòu)喊了多年的今天，一個靠U盤傳播的蠕蟲還能成為國家級入侵的突破口，這不是技術(shù)差距，是執(zhí)行差距。

Unit 42沒有披露具體受害國家的名稱，這是行業(yè)慣例。但從攻擊時間窗口（2025年6-8月）和工具特征來看，這起事件很可能與同期公開的某東南亞國家數(shù)據(jù)泄露事件有關(guān)——當時該國政府承認"部分系統(tǒng)遭未授權(quán)訪問"，但否認核心數(shù)據(jù)外泄。

現(xiàn)在我們知道，"未授權(quán)訪問"的參與者至少有三組，持續(xù)了三個月，用了五種不同的RAT和后門。核心數(shù)據(jù)到底有沒有出去？只有攻擊者清楚。

防御建議的部分，Unit 42列得很常規(guī)：禁用自動播放、監(jiān)控USB設(shè)備、分段網(wǎng)絡(luò)、行為檢測。但真正的難題是組織層面的——當三個APT在你網(wǎng)絡(luò)里開派對時，你的SOC（安全運營中心）能不能分辨出這是三撥人，而不是一撥人的三次變裝？

這次事件給出一個冷峻的參照：2025年的政府級網(wǎng)絡(luò)防御，對手可能不是"一個黑客團隊"，而是一個松散的攻擊者聯(lián)盟，共享目標、分工協(xié)作、互不干擾。你準備好同時打三場仗了嗎？